E-mails med følsomme oplysninger skal sendes som krypteret mail fremover

Fra 1. januar 2019 skal alle e-mails, der indeholder følsomme eller fortrolige personoplysninger, krypteres. Det meddeler Datatilsynet.

Sender du e-mails med følsomme oplysninger? Så skal de fra 1. januar 2019 sendes som krypteret mail. Det fastslår Datatilsynet i en meddelelse d. 23.07.2018.

Datatilsynet har siden år 2008 anbefalet anvendelse af kryptering for alle private organisationer. Det har dog kun været en anbefaling og ikke noget krav. For offentlige myndigheder har det været et krav siden år 2000. Nu vil det ændre sig, så det bliver et krav for hele den private sektor og ikke kun for offentlige myndigheder.

Alle virksomheder og organisationer har til 1. januar 2019 til at få styr på kravene.

Hvad er følsomme oplysninger?

Kravet om kryptering gælder ifølge Datatilsynet for "fortrolige og følsomme personoplysninger med e-mail".

Men hvad er det nu lige, der er følsomme personoplysninger?

Personfølsomme oplysninger er oplysninger om:

• Race eller etnisk oprindelse
• Politisk, religiøs eller filosofisk overbevisning
• Fagforening
• Genetiske eller biometriske data med det formål entydigt at identificere en fysisk person
• Helbredsoplysninger
• Seksuelle forhold eller seksuelle orientering​

Derudover bør CPR-nummer efter databeskyttelsesloven behandles som en følsom oplysning.

Udover begrebet følsomme oplysninger, nævner Datatilsynet også begrebet "fortrolige oplysninger". Dette er ikke 100% defineret, men er oplysninger, som er mere fortrolige end andre, og som dermed skal sikres bedre. Fortrolige oplysninger kan for eksempel være personers økonomiske forhold, lønoplysninger og lignende. Disse skal beskyttes bedre, end hvis der fx kun indsamles IP-adresser.

Du kan læse mere om følsomme og fortrolige oplysninger i vores artikel om hvad er personfølsomme oplysninger.

(Artiklen fortsætter under billedet...)

Helbredsoplysninger en en følsom oplysning. Denne kaldes også for en oplysning af særlig kategori. Hvis du sender følsomme personoplysninger, fx helbredsoplysninger, via mail, skal du være særligt opmærksom på at overholde kravene i GDPR.

Hvad skal man gøre, hvis man sender e-mails med følsomme oplysninger?

Det har hele tiden været et krav i databeskyttelsesforordningen (GDPR, eller også kaldt persondataforordningen), at alle der behandler personoplysninger, skal behandle dem med passende "organisatoriske og tekniske foranstaltninger".

Sagt på dansk betyder det, at du skal sørge for at sikre personoplysningerne godt nok. Organisatorisk vil sige i forhold til, hvem der har adgang til oplysningerne. Kan alle få adgang til dem, eller skal man for eksempel skrive en adgangskode for at få adgang?

De tekniske foranstaltninger er alt det tekniske, som du kan foretage, for at sikre, at personoplysningerne er tilstrækkeligt sikret, så du undgår hacking eller lignende.

Udmeldingen fra Datatilsynet om kryptering af e-mails med følsomme og fortrolige oplysninger bunder i reglen om passende tekniske foranstaltninger. Datatilsynet har vurderet, at det ikke vil være passende tekniske foranstaltninger, hvis e-mails med fortrolige og følsommme oplysninger ikke krypteres.

Datatilsynet vil håndhæve denne regel fra 1. januar 2019.

Brug for mere hjælp til GDPR?

Har du brug for mere hjælp til GDPR? For eksempel til reglerne for e-mails og følsomme oplysninger? Eller bare til persondataforordningen generelt?

Her hos Persondatakonsulenterne hjælper vi med at sørge for, at du lever op til reglerne i GDPR.

Vi har både fokus på det juridiske og reglerne samt på det praktiske og mere tekniske/IT-baserede.

Hvis du har brug for hjælp, så er du velkommen til at kontakte os for at høre nærmere om, hvordan vi kan hjælpe dig.

Kontakt os her for at få hjælp til GDPR 

DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af Persondataforordningen/GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne. Kontakt os for at høre nærmere.